网络安全：解决互联网安全问题，缓解常见安全威胁

所有组织都面临着应对网络攻击的挑战。最新更新的国际标准ISO/IEC 27032旨在解决互联网安全问题，并为缓解常见安全威胁提供指导。

ISO/IEC 27032:2023《网络安全 互联网安全指南》涵盖了安全的各个方面，并提供了解决风险的技术和非技术控制。它确定了一些常见的威胁：

社交工程攻击是一种操纵技术，用于欺骗个人，诱骗他们泄露敏感信息或进行恶意行动

零日攻击是指利用供应商未知或尚未修补的软件或系统中的漏洞进行攻击

隐私攻击旨在损害敏感信息的机密性或隐私，例如个人身份信息

黑客攻击包括未经授权访问、入侵或操纵计算机系统、网络或应用程序。

恶意软件的扩散包括恶意软件、间谍软件和可能危害系统和安全的潜在有害软件的传播。

ISO/IEC 27032确定了用于准备、预防、检测、监控和响应攻击的控制措施。这些控制措施旨在保护信息的机密性、完整性和可用性。它还涉及其他属性，如真实性、责任性、不可撤销和可靠性。

ISO/IEC 27032包括行业最佳实践，并强调对消费者和员工的广泛培训，以积极应对互联网安全挑战。它涵盖了各个方面，如角色、政策、方法、过程和适用的技术控制。

该标准利用了ISO/IEC 27000系列中相关标准的现存概念。这些标准为特定领域提供了详细的技术规范和指南，ISO/IEC 27032参考了这些标准以获得进一步的指导。

ISO/IEC 27032解释了互联网安全(internet security)、网络安全(web security)、网页安全（network security)和计算机安全(cyber security）之间的关系。它还概述了互联网安全，确定了相关方，描述了他们的角色，并为解决常见的互联网安全问题提供了高级指导。

计算机安全（cyber security）的定义是保护人们、社会、组织和国家免受网络攻击风险的影响。相比之下，互联网（internet）安全是关于保护互联网上信息的机密性、完整性和可用性。

网络安全(web security)涉及万维网（WWW）背景下的信息安全以及公共网络上的网络服务。网络(network)可以包括路由器、集线器、电缆、电信控制器、关键配送中心和技术控制设备等组件。

经过完全修订和重组的ISO/IEC 27032第二版的显著变化包括一种新的风险评估和处理方法，增加了关于威胁、漏洞和攻击载体的内容，以识别和管理互联网安全风险。新的附件包括新出版物中引用的互联网安全控制与ISO/IEC 27002中包含的控制之间的映射。

ISO/IEC 27032是IEC和ISO联合技术委员会SC 27制定的。它负责制定信息安全和隐私保护以及相关主题的国际管理和技术标准。

SC 27的范围包括制定系统、信息技术、流程和服务的安全和隐私保护标准。